package logic

import (
	"context"
	"fmt"
	"strconv"
	"time"

	"probe-users/internal/errorx"
	"probe-users/internal/svc"
	"probe-users/internal/utils"
	"probe-users/pb/users"

	"github.com/pkg/errors"
	"github.com/zeromicro/go-zero/core/logx"
)

type AssignRoleLogic struct {
	ctx    context.Context
	svcCtx *svc.ServiceContext
	logx.Logger
}

func NewAssignRoleLogic(ctx context.Context, svcCtx *svc.ServiceContext) *AssignRoleLogic {
	return &AssignRoleLogic{
		ctx:    ctx,
		svcCtx: svcCtx,
		Logger: logx.WithContext(ctx),
	}
}

// 角色权限修改
func (l *AssignRoleLogic) AssignRole(in *users.AssignRoleRequest) (*users.AssignRoleResponse, error) {
	// 参数验证
	if err := l.validateAssignRoleParams(in); err != nil {
		return nil, err
	}

	// 解析Token
	claims, err := utils.ParseToken(in.Token, l.svcCtx.Config.JWTAuth.AccessSecret)
	if err != nil {
		return nil, err
	}

	// 检查是否有权限分配角色
	hasPermission, err := l.svcCtx.Enforcer.Enforce(strconv.FormatInt(claims.RoleId, 10), "role", "assign")
	if err != nil {
		return nil, errors.Wrapf(err, "检查权限失败")
	}
	if !hasPermission {
		return nil, errorx.ErrPermissionDenied
	}

	// 检查用户是否存在
	user, err := l.svcCtx.UserModel.FindOne(in.UserId)
	if err != nil {
		return nil, errors.Wrapf(err, "查询用户失败: %d", in.UserId)
	}

	// 检查角色是否存在
	_, err = l.svcCtx.RoleModel.FindOne(in.RoleId)
	if err != nil {
		return nil, errors.Wrapf(err, "查询角色失败: %d", in.RoleId)
	}

	// 更新用户角色
	user.RoleID = in.RoleId
	user.UpdatedAt = time.Now()
	if err := l.svcCtx.UserModel.Update(user); err != nil {
		return nil, errors.Wrapf(err, "更新用户角色失败: %d", user.ID)
	}

	// 更新Casbin策略（移除旧角色权限，添加新角色权限）
	// 先删除用户旧角色关联
	_, err = l.svcCtx.Enforcer.DeleteRoleForUser(fmt.Sprintf("%d", user.ID), fmt.Sprintf("%d", claims.RoleId))
	if err != nil {
		return nil, errors.Wrapf(err, "删除旧角色权限失败")
	}
	// 添加新角色关联
	_, err = l.svcCtx.Enforcer.AddRoleForUser(fmt.Sprintf("%d", user.ID), fmt.Sprintf("%d", in.RoleId))
	if err != nil {
		return nil, errors.Wrapf(err, "添加新角色权限失败")
	}
	// 保存策略
	if err := l.svcCtx.Enforcer.SavePolicy(); err != nil {
		return nil, errors.Wrapf(err, "保存权限策略失败")
	}

	return &users.AssignRoleResponse{
		Success: true,
	}, nil
}

func (l *AssignRoleLogic) validateAssignRoleParams(in *users.AssignRoleRequest) error {
	if in.Token == "" {
		return errorx.ErrTokenNotEmpty
	}
	if in.UserId <= 0 {
		return errorx.ErrUserIdInvalid
	}
	if in.RoleId <= 0 {
		return errorx.ErrRoleIdInvalid
	}
	return nil
}
